Z natury bezpieczny system mobilny Blik tym razem ułatwił złodziejom przestępstwo
Czeki Blik to jedna z funkcji systemu oferowanego przez spółkę Polski Standard Płatności. Mogą z niego korzystać klienci np. PKO BP, BZ WBK czy ING Banku Śląskiego. Usługa polega na możliwości wypłaty gotówki z bankomatu bez konieczności posiadania telefonu. Może być pomocna np. przy wysyłaniu pieniędzy dziecku na koloniach. Aby skorzystać z usługi, użytkownik Blika musi zdefiniować kwotę wypłaty, utworzyć kod PIN a następnie wygenerować 9-cyfrowy czek. Należy go przesłać wybranej osobie w dowolny sposób wraz z PIN-em. Ta po wprowadzeniu cyfr do bankomatu i autoryzacji kodem może podjąć gotówkę.
Przeczytajcie także: Dowody wracają do oddziałów BPH
Jak się okazuje, ta wygodna usługa przydała się także przestępcom, którzy zaatakowali klientkę ING Banku Śląskiego. Cyberzłodzieje najpierw rozesłali spam phishingowy, w którym nakłaniali przypadkowe osoby do zalogowania się na konto przy pomocy podstawionej, fałszywej strony banku. Wspomniana klientka dała się na to nabrać. Przestępcy po uzyskaniu loginu i hasła zalogowali się na jej rachunek i zainicjowali zmianę numeru telefonu, na który wysyłane są hasła autoryzacyjne. Następnie nakłonili klientkę do zatwierdzenia zmiany hasłem, które dotarło na dotychczasowy numer telefonu.
Nie wiadomo dokładnie w jaki sposób udało się im to osiągnąć. W każdym razie uzyskali w ten sposób pełną kontrolę nad kontem osobistym ofiary. Zamiast jednak wykonać przelew czy przelewy z jej rachunku na zarządzany przez siebie, jak to się dzieje zazwyczaj w takich sytuacjach, wygenerowali czeki Blik, za pomocą których od razu wyciągnęli gotówkę z bankomatu. Dzięki temu skrócili cały proces oszustwa, zmniejszając tym samym ryzyko wykrycia przestępstwa i zablokowania środków przez bank.
Przeczytajcie także: mBank ostrzega przed kolejnym oszustwem
Przypadek ten nie wpływa generalnie na ocenę Blika jako systemu bezpiecznego. Niemniej jak widać, przestępcy znaleźli sposób jak wykorzystać go do własnych celów. Zmusiło to Bank Śląski do zmniejszenia limitów transakcyjnych dla czeków Blik. Od marca klienci ING będą mogli mieć maksymalnie trzy aktywne czeki jednocześnie, a dzienna wartość wypłat realizowanych w ten sposób nie będzie mogła być większa niż 500 zł. Obecnie można mieć pięć aktywnych czeków.
Nie wiadomo, czy opisany tu przypadek był pojedynczym wydarzeniem oraz czy podobne kradzieże miały miejsce także w innych bankach. Na moje pytania w tej sprawie zdecydował się odpowiedzieć jedynie BZ WBK. Biuro prasowe tego banku podało, że instytucja nie odnotowała fraudów przy użyciu czeków Blik. Na razie nie zamierza także zmieniać limitów transakcyjnych. Klient BZ WBK przy pomocy tego instrumentu może wypłacić maksymalnie trzy tysiące złotych dziennie.